La sécurité des outils IA revient régulièrement dans les inquiétudes des responsables IT. Et la découverte de deux failles dans la plateforme IA de codage Cursor (qui vient récemment d'être racheté pour 60 Md$ par SpaceX) ne va certainement pas les rassurer. Trouvées par des experts de Cato Networks, les vulnérabilités référencées CVE-2026-50548 et CVE-2026-50549 donnent la capacité à des attaquants de contourner la sandbox de Cursor.

« L'exploitation de ces failles ne requiert aucun privilège utilisateur préalable ni interaction spécifique avec lui », ont indiqué les chercheurs dans leur rapport. « Ce mécanisme se déclenche lorsqu'une victime effectue une action anodine qui, par inadvertance, ingère une charge utile contrôlée par un acteur malveillant et provenant d'une source non fiable, telle qu'un serveur MCP ou un résultat de recherche web.» A noter que les deux failles ont été corrigées dans la version 3.0 de l’IDE publié en avril.

Failles logiques dans la couche d'isolation

Concernant la CVE-2026-50548, les experts indiquent qu’il s’agit d’un problème de configuration de la sandbox. Elle autorise l'écriture dans le répertoire de travail d'une commande, et ce répertoire est un paramètre optionnel (working_directory) de l'outil run_terminal_cmd. Lorsque l'agent définit un chemin non standard, Cursor l'ajoute sans vérification à la liste des fichiers autorisés en écriture. « Une injection de commande (via une requête serveur MCP anodine ou un résultat web piégé) peut amener le LLM à définir working_directory sur un chemin contrôlé par un acteur malveillant, en dehors du périmètre du projet », précisent les chercheurs. En exploitant cette faille, des attaquants pourraient remplacer l'exécutable cursorsandbox dans le chemin d'accès de l'application, ou écrire des scripts malveillants dans le fichier de configuration du shell (chargé à chaque exécution de commande) ou dans les dossiers de démarrage du système, tels que ~/Library/LaunchAgents sous macOS.

De son côté, la CVE-2026-50549 s’appuie sur les capacités de l’agent Cursor pour créer des raccourcis via des liens symboliques (symlink) dans le répertoire d’un projet, pointant vers un fichier en dehors de ce répertoire. « Par défaut, l'agent Cursor tente de normaliser les chemins (en résolvant les liens symboliques) pour déterminer leur emplacement réel et de vérifier qu'ils se trouvent bien à la racine du projet », expliquent les chercheurs. « La vulnérabilité provient d'une faille dangereuse dans la logique de normalisation : si celle-ci échoue (par exemple, si le chemin n'existe pas ou si les droits de lecture sur l'un de ses répertoires sont insuffisants), Cursor utilise le chemin du lien symbolique d'origine à l'intérieur du répertoire du projet. » Ces deux vulnérabilités, baptisées DuneSlide par Cato, sont en mesure de compromettre totalement le système d'exploitation sous-jacent en exécutant du code en dehors de l'environnement isolé de la plateforme de développement. De plus, elles démontrent que l'injection de requêtes peut constituer un vecteur d'attaque pour exploiter les vulnérabilités des logiciels implémentant les agents d'IA. Selon les experts d'autres IDE basés sur l'IA pourraient être vulnérables. 

Des vulnérabilité natives aux LLM

Les LLM sont intrinsèquement vulnérables aux prompts malveillants susceptibles d'être dissimulés dans le contenu qu'ils traitent. Ceci est particulièrement dangereux à l'ère de l'IA agentique, où les LLM sont combinés à divers outils, notamment des navigateurs et des API, pour accéder à une variété de contenus publics tiers : pages web dans les résultats de recherche et les flux RSS, code dans les dépôts, commentaires dans les systèmes de suivi des bogues, courriels dans les boîtes de réception des utilisateurs et leurs documents. Protéger les outils d'IA contre l'injection de messages frauduleux est très complexe et nécessite généralement une approche multicouches. Celle-ci inclut des garde-fous intégrés au modèle par le fournisseur qui l'a créé, des instructions dans les prompts système pour traiter certains contenus comme des données passives, des modèles superviseurs exécutés au-dessus des modèles de langage traitant les données, le filtrage classique par mots-clés, la segmentation contextuelle, des contrôles d'accès précis, et la réintégration de l'intervention humaine pour approuver les opérations sensibles.

Les environnements de développement intégrés (IDE) assistés par l'IA, tels que Cursor, ainsi que les outils de programmation en ligne de commande, demandent généralement l'approbation de l'utilisateur par défaut pour chaque modification de fichier ou commande à exécuter. Cependant, cette approche est peu pratique pour les flux de travail de programmation autonomes et engendre rapidement une lassitude liée aux approbations. Une autre solution consiste à exécuter ces flux de travail autonomes dans des conteneurs, des environnements virtualisés ou des sandbox. Ainsi, si les agents exécutent des prompts malveillants suite à l'injection de messages frauduleux dans des sources de données tierces, l'impact est limité. Car Cursor utilise une sandbox d'exécution de commandes qui, par défaut, limite les écritures de fichiers au répertoire du projet en cours.